Versione HTML di base
7.
La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile,
l'interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la
protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli
interessi legittimi degli interessati e delle altre persone in questione.
8.
Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il
rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una
valutazione d'impatto sulla protezione dei dati.
9.
Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul
trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
10.
Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o
nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il
trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla
protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i
paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di
procedere alle attività di trattamento.
11.
Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia
effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del
rischio rappresentato dalle attività relative al trattamento.
Articolo 36
Consultazione preventiva
1.
Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione
d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in
assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
2.
Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il
titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l'autorità di controllo fornisce,
entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del
trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all'articolo 58. Tale
periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L'autorità di
controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente
ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può
essere sospesa fino all'ottenimento da parte dell'autorità di controllo delle informazioni richieste ai fini della consul
tazione.
3.
Al momento di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento comunica
all'autorità di controllo:
a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei
responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale;
b) le finalità e i mezzi del trattamento previsto;
c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;
d) ove applicabile, i dati di contatto del titolare della protezione dei dati;
4.5.2016
L 119/54
Gazzetta ufficiale dell'Unione europea
IT